把握安全監視你的網路是否受到攻擊(轉)

把握安全監視你的網路是否受到攻擊(轉)[@more@]

　　你想讓你的Linux計算機變得更加牢固嗎？其實這不難，這裡有五個工具可以幫助你來達成這個目標。

　　Chkrootkit

　　首先要介紹 chkrootkit ，這個程式是設計用來檢查許多廣為人知的rootkit 的（在chkrootkit的網站有這些rootkit的列表）。執行chkrookit非常簡單：下載原始碼，解開軟體包，在檔案被解開的路徑裡敲入 make 。完成後，chkrootkit就隨時侯命了。這是在我的機器上chkrootkit的一個輸出的例子：

　　[root@jd chkrootkit-0.34]# ./chkrootkit

　　ROOTDIR is `/'

　　Checking `amd'... not found

　　Checking `basename'... not infected

　　Checking `biff'... not found

　　Checking `chfn'... not infected

　　Checking `chsh'... not infected

　　Checking `cron'... not infected

　　Checking `date'... not infected

　　Checking `du'... not infected

　　Checking `dirname'... not infected

　　Checking `echo'... not infected

　　Checking `egrep'... not infected

　　Checking `env'... not infected

　　Checking `find'... not infected

　　[...]

　　chkrootkit是一個很不錯的實用工具，它可以進一步讓我們確信：我們的機器並沒有被黑。

　　可以這樣說，我一直在尋找這樣一組好的工具，可以實現網路監視和基本的網路安全。在做這種研究的過程中我遇到以下幾個程式，包括NetSaint，OpenNMS，nmap， Bastille Linux，and Snort。

　　NetSaint

　　NetSaint 是一個簡單的，用於監視你網路的基於Web的實用工具。它甚至具有一個WAP（Wireless Access Protocol）介面。它支援一個強有力的外掛機制來增加附加的功能和特性。當我擺弄NetSaint的時候，唯一一點我不太喜歡的是它自稱是開放原始碼社群的一個副專案。

　　假如符合以下幾個特徵，NetSaint作為開放原始碼社群的一個副專案可能會出現問題：

　　1.有許多特點

　　2.沒有太多的文件

　　3.零散的釋出計劃

　　4.沒有技術支援

　　5.安裝困難

　　6.沒有打包成RPM檔案

　　我對第6點特別感到惱火，但是我已經陷身在開放原始碼裡好長一段時間了，在編譯PostgreSQL 或 Apache 來定製引數和最佳化效能的同時，我也對應付所有這些原始碼感到疲倦。我只想敲入 rpm -i 來把工作完成。無論如何，我似乎把話題扯遠了。

　　OpenNMS

　　繼續我們的介紹，OpenNMS看來是一個很好的程式。我以前曾下載和安裝過它，但是不能讓它正常工作起來，但這畢竟是以前的事了，我想自那之後它已經作了很多改進。

　　假如你熟悉Hp的OpenView網路節點管理產品，你將會喜歡OpenNMS。OpenNMS需要Java，SNMP和PostgreSQL的支援。安裝OpenNMS完全不用你費神，因為開發者使這個產品成熟至可以和商業軟體競爭（有時候甚至比商業軟體更好）。

　　Nmap

　　假如你想在網路裡執行埠掃描，看看是否該鎖的埠都鎖定了，我建議你用nmap，以下是nmap的一些輸出例子：

　　Interesting ports on (192.168.1.1):

　　(The 1545 ports scanned but not shown below are in state: closed)

　　Port????State???Service

　　22/tcp???open ???ssh

　　53/tcp???open ???domain

　　2030/tcp??open ???device2

　　32778/tcp ?filtered? sometimes-rpc19

　　Remote operating system guess: Linux 2.1.19 - 2.2.17 Uptime 10.959 days (since Sun Oct 7 16:26:15 2001)

　　Nmap執行完成了 -- 平均掃描一個IP地址（一個主機）要3秒。

　　Nmap支援幾種不同型別的掃描，包括Stealth，Fin和基於連線的掃描。你可以把它運用到作業系統檢測和不同型別協議的掃描裡，例如TCP ping和ICMP ping。

　　你也可以讓nmap報告你正在掃描的機器的漏洞資訊。關於執行nmap的一個警告：如果你要用nmap掃描 ? 你要確定執行掃描的主機在被掃描主機的portsentry.ignore 檔案裡。假如不是，你會發現你的機器被你正在掃描的機器阻塞了。

　　Bastille Linux

　　Bastille Linux 是一個軟體包，設計用於保護和加強Linux。Bastille Linux支援基於RedHat和Mandrake的系統。我過去就用過Bastille，它工作得很好。關於Bastille有一件事我很欣賞的，就是你使用它的同時它會教你。在這個程式中你執行的每一步都有說明。它會告訴你為什麼這是好的，和將影響那些潛在的地方。這些特性使得Bastille不只是一個強大的安全加強工具，而且也是一個教學工具。

　　Snort

　　我要介紹的最後一個工具是Snort。Snort是一個開放原始碼，並且支援一系列特性的網路入侵檢測系統，它在網路安全的圈子裡倍受重視。它有定製的規則集，有把日誌紀錄到資料庫的功能，也能和其它程式例如tcpdump 一起工作。

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·